※F-Secureの法人向け事業はWithSecure™になりました。個人ユーザー向けの事業が引き続きF-Secureとして展開しております。移行期のため、F-Secure BlogでWithSecure™のご案内をさせていただいております。
ランサムウェア被害を防ぐためには、現在のセキュリティ体制における脆弱性の確認と、脆弱性を利用した不正侵入が行われていないかを把握することが必要です。なお、攻撃者が不正侵入した後の偵察活動に関しては、EDR(エンドポイント端末での不審な挙動を検知して、管理者や利用者に迅速に対応を促すソリューション)で検出ができます。
2021年と2020年に起こった病院と企業のランサムウェア被害事例の共通点は、どちらのケースもVPNの脆弱性を利用し、社内ネットワークに不正侵入されたこと、侵入を検知できなかったことが原因と考えられています。
K病院の事例:
2021年10月、病院内に設置されていた複数台のプリンタが、一斉に犯行声明を印字し始めたことでインシデントが発覚しました。Lockbit2.0によるランサムウェアに感染し、患者の電子カルテなどの端末や関連するサーバーのデータが暗号化されたことが確認されました。K病院は、ネットワークの遮断、端末の停止等を行い、救急や新規患者の受け入れを中止、手術も可能な限り延期にするなど、約2カ月間にわたり病院としての機能が停止する状態に陥りました。調査の結果、攻撃者は、電子カルテをはじめとした医療機器のメンテナンス等を行う際に接続するVPNの脆弱性を利用しネットワークへ侵入、攻撃に至った可能性が極めて高いことがわかりました。VPNは導入当初からソフトウェアの更新が行われておらず、脆弱性が放置されたままでした。
G社の事例:
2020年11月、G社グループシステムの一部でメールシステムやファイルサーバーなどにアクセスしづらい障害が発生しました。システムを遮断し、被害状況の把握に着手したところ、障害の原因が、ランサムウェアの攻撃によるネットワーク上の機器に対するファイルの暗号化であることが確認されました。被害を受けた端末において「Ragnar Locker」を名乗る集団からの脅迫メッセージを発見し、警察に通報。外部企業に復旧支援を要請しました。複数の業者と共に、攻撃を受けた機器および通信ログの調査を行ったところ、G社北米現地法人が保有していた予備の旧型VPN装置がサイバー攻撃を受け、社内ネットワークに不正侵入されたことがわかりました。同現地法人を含め、G社グループでは、旧型ではないVPN装置を導入済みであったものの、カリフォルニア州における新型コロナウィルス感染急拡大でネットワーク負荷が増大したため、緊急避難用に旧型VPN装置を1台使用していました。事案発生からの累計でランサムウェアによる不正アクセス攻撃によって流出が確認されたG社グループが保有する個人情報は15,649人となりました。また、2021年1月の時点で、流出した可能性のあるG社お客様・お取引先等社外の方の個人情報は、最大約39万人であることが判明しました。G社では、EDRの導入に着手していましたが、新型コロナウイルス感染拡大に伴いインフラ整備を優先せざるを得なかった結果、本件発生時は検証の途上(未済)でした。
この二つの事例は、機器の脆弱性が放置され、攻撃者がその脆弱性を利用してネットワークに侵入し潜伏後、攻撃を行うという点が共通しています。このようなケースを防止するために、現在のセキュリティ体制における脆弱性の確認と、脆弱性を利用した不正侵入が行われていないかを把握することが必要です。
IBM X-Force脅威インテリジェンス・インデックス2021によると、脆弱性のスキャンがフィッシングを抜いてサイバー犯罪者の最も一般的な攻撃ベクターとなり、そのプロセスは自動化されている可能性が明らかになりました。脆弱性が悪用される前に把握する必要があります。また、すでに脆弱性を利用し攻撃者が社内ネットワークに侵入している可能性があります。
サイバーリスクを回避することは困難ですが、管理することは可能です。そのためには、あらかじめ想定されるリスクと、ビジネスへの影響を理解しておく必要があります。
効果的なサイバーセキュリティ戦略は、保護すべき情報資産を洗い出すことから始まります。そして、情報資産を洗い出し、重要度を確認し、 脆弱性を洗い出し、その脆弱性が狙われる可能性を評価します。保護されるべき対象の情報資産がどのような脅威にさらされているかを理解することが重要です。ビジネスにリスクはつきものです。しかし適切なセキュリティパートナーのサポートがあれば、サイバーリスクの把握や定量化ができ、ビジネスの進化に合わせてレジリエンス(回復力)を高い状態に維持することができます。
WithSecureは30年以上にわたる、サイバーセキュリティの実践で培われた豊富な経験と専門知識で、世界中の重要なビジネスを守り続けています。
優れたセキュリティには、パートナーシップの存在が不可欠です。私たちは、お客様にサイバーセキュリティの脅威との戦いに必要なパートナーシップとソリューションをご提供します。御社のサイバーセキュリティの課題を私たちにご相談ください。
WithSecure™ Elements Vulnerability Management
WithSecure™ Elements Vulnerability Management は、導入後すぐに利用できるエンタープライズグレードの脆弱性スキャンおよび管理のソリューションで、ネットワーク、IT資産、ディープウェブ、コンプライアンスに対応します。
WithSecure™コンサルティングサービス
脆弱性スキャンを超えて、自動化されたツールが見落としがちな攻撃ベクトルを明らかにできるように、現実的でお客様の環境に合った評価を行うことを目指しています。具体的な脅威シナリオや、今まさにお客様の組織を狙っている攻撃者のタイプをモデル化するために、検知チームや敵対者シミュレーションチームなど、他のコンサルティング部隊とも連携します。
WithSecure™ Elements Endpoint Detection and Response
攻撃者が不正侵入した後のRecon(偵察)活動に関しては、EDRでの検出が可能です。インシデントを発見できなければ、攻撃を阻止することは不可能です。WithSecure™ Elements Endpoint Detection and Response (EDR)は、洗練された分析と機械学習テクノロジーを組み合わせて、高度なサイバー脅威や侵害から組織を保護します。
ウィズセキュア株式会社
〒105-0004 東京都港区新橋2丁目2番9号 KDX新橋ビル2階
Tel: 03-4578-7710 / E-mail : japan@f-secure.co.jp
https://www.withsecure.com/
カテゴリ